安全集成技术方案模版

ANYUNTECANYUNTECTITLE安全集成技术方案模版目录安全集成技术方案模版 1一.方案概述 1二.信息安全现状分析 12.1信息化系统现状 12.2信息安全现状 22.3信息安全合规差距/典型措施 22.3.1物理安全 22.3.2网络安全 32.3.3主机安全 42.3.4应用安全 52.3.5数据安全 72.3.6安全管理制度 72.3.7安全管理机构 72.3.8人员安全管理 82.3.9系统安全建设 92.3.10系统安全运维 112.4信息安全风险分析 152.4.1网络层面的安全风险 152.4.2数据中心层面 162.5信息安全日常管理运维 17三.安全整改方案设计 173.1安全策略设计 173.2安全设计原则 183.3系统设计思路 193.3.1实现可信网络计算环境防御体系 193.3.2实现可信用户行为监管 213.3.3实现可信数据安全防护 223.3.4实现可信网络安全管理 223.3.5实现了数据的备份与恢复 23四.安全整改技术体系建设 234.1物理安全 234.2网络安全 244.2.1纵深的安全防护系统 244.2.2实时的安全监控系统 264.2.3全面的审计系统 264.2.4安全管理平台 274.3主机安全 284.3.1统一漏洞管理 284.3.2全面主机日志审计 294.4应用安全 304.4.1WEB应用防护 314.4.2应用系统安全 314.4.3双因素认证 334.5数据安全及备份修复 334.5.1应用数据安全 344.5.2灾备体系 35五.选型产品和服务介绍 355.1画方网络准入控制系统 355.1.1需求分析 355.1.2部署方案 365.1.3应用效果 385.2运维堡垒机（暂未选型） 405.3绿盟漏洞管理系统 405.4防火墙（暂未选型） 405.5安全咨询和技术服务 40六.项目分阶段建设实施计划 40七.总结 41附录A 方案设计软/硬件清单 41A.1 第一期设备清单 41A.2 第二期设备清单 41A.3 第三期设备清单 41附录B 投资预算 42B.1 硬件投资预算 42B.2 软件投资预算 42B.3 服务投资预算 42PAGE方案概述2016年1月底XXX信息安全顾问和济XX客户XXX经理共同拜访了XXX信息安全技术负责人，调研了XXX信息业务系统的现状，梳理了信息安全风险。通过初步沟通交流，认为XXX信息安全管理工作目前应重点关注以下三方面内容：1，XXX业务系统按照国家等级保护二级标准定级，在网络、系统、应用、数据、管理层面尚有部分差距，需要整改，满足等级保护二级193个评测项的要求。2，分布在全国的分店全面部署了无线网络接入环境，有得分店是无线独立组网，有的分店有线无线混合组网，外部顾客和内部员工的准入控制、身份认证、访问授权管理相对混乱、低效，占用安全运维人员大量时间。3，XXX信息系统是整个商业集团信息系统的一部分，目前主要由2名技术人员负责建设、运维管理工作，尚未健全信息安全管理体系和运维体系，缺乏主要的技术管理工具和审计分析工具，信息安全管理工作的成效和考核标准指标无法显性化。针对以上三项需求，XXX安全顾问整理了本建议书，希望能够给XXX信息安全整改工作提供参考。信息安全现状分析信息化系统现状网络架构为数据中心--中心店--门店的三级网络架构；专线的形式从原有的SDH、MSTP、VPN三种变为主流MSTP，VPN作补充；系统架构是集中部署的方式，在这种方式下网络线路出问题，将会直接影响到门店信息系统的使用，尤其是储值卡系统，目前储值卡是采用的磁条卡，磁条卡是无记忆功能的，他所承载的数据或者说卡余额，都是在后台服务器记忆的，所以说，网络是否稳定，是否安全，关系着企业是否可以平稳高效的运转。无线组网采取单店标准化，规模集中的部署步骤。先对有需求门店实现标准化组网，数据本地储存，在达到一定规模后，再对顾客数据进行共享同步和数据分析，既保证数据的收集，又避免前期的低回报大投资。门店无线WLan后续承载大量的业务应用，包括顾客上网、专柜上网、无线POS、移动导购，大屏广告。XXX数据中心主要集中在XXX楼机房，另外通过专线连接商业集团数据中心中的其他业务，第三方外联业务边界集中在商业集团数据中心。互联网电子商务平台独立数据中心和互联网接入，和目前XXX通过专线做电子业务结算，结算接入主要在商业集团数据中心。信息安全现状门店部署深信服上网行为管理产品，符合省网监大队审计要求，还可以解决控制门店非工作上网带宽占用情况。并可以对无线设备进行管理和用户认证。针对国家公安部对非营利性公共组织互联网的接入具备审计能力的要求，越来越多的门店，由VPN、防火墙、行为审计一体化的设备替换了原有的防火墙设备，既节省了总体投资，又减少了故障点。无线组网最终将和门店原有办公网络结合，以达到满足移动导购、无线收银等业务需求。两网合并后，无线网既承载顾客上网，消费分析等功用，又为门店的物业业务提供帮助。既保证上网的良好体验，又保证无线业务的数据安全是双网合并的关键，对此采取了二层隔离、访问控制等安全措施。XXX总部互联网接入边界部署防火墙和绿盟科技入侵保护系统IPS，可以做到防止外界入侵，窃取数据和病毒侵害，同时可以做到部分带宽控制。商业集团总部部署防火墙、入侵防御、WAF等安全产品。图1门店网络架构图2集团总部网络架构信息安全合规差距/典型措施物理安全未做调研网络安全类别测评项典型技术措施/差距分析结构安全（G2）a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要ITSM运维软件网络监控模块采集分析均值和峰值b)应保证接入网络和核心网络的带宽满足业务高峰期需要ITSM运维软件链路监控模块采集分析均值和峰值c)应绘制与当前运行情况相符的网络拓扑结构图ITSM运维软件拓扑呈现功能d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段1，全网安全域划分（网络域、计算域、用户域、支撑域）2，接入层IP地址管理、用户准入控制访问控制（G2）a)应在网络边界部署访问控制设备，启用访问控制功能防火墙b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级防火墙c)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户1，基于IP的防护控制策略2，基于ID的防护控制策略d)应限制具有拨号访问权限的用户数量VPN、认证网关等用户审计安全审计（G2）a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录IT运维管理软件b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息Syslog日志服务器边界完整性检查（S2）a)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查1，外联监测2，网络准入控制入侵防范（G2）a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等网络IPS网络设备防护（G2）a)应对登录网络设备的用户进行身份鉴别配置：网络设备有登录口令做身份鉴别运维堡垒机b)应对网络设备的管理员登录地址进行限制配置：绑定管理员IP运维堡垒机c)网络设备用户的标识应唯一配置：防止多人共用一个账户运维堡垒机d)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换配置：复杂口令，3个月更换运维堡垒机e)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施配置：多次认证失败锁定运维堡垒机f)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听配置：禁用Telnet，改用SSH主机安全类别测评项典型技术措施/差距分析身份鉴别（S2）a)应对登录操作系统的用户进行身份标识和鉴别配置：登录需用户名和密码运维堡垒机b)操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换配置：复杂口令，3个月更换运维堡垒机c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施配置：多次认证失败锁定运维堡垒机d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听配置：禁用Telnet，改用SSHe)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性配置：防止多人共用一个账户运维堡垒机访问控制（S2）a)应启用访问控制功能，依据安全策略控制用户对资源的访问配置：用户权限域控制用户b)应实现操作系统和数据库系统特权用户的权限分离配置：数据库和操作系统管理账户分离c)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令配置：guest用户禁用，administrator用户重命名，修改了默认口令d)应及时删除多余的、过期的帐户，避免共享帐户的存在配置：冗余账户清理运维堡垒机安全审计（G2）a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户服务器安全加固安全配置基线管理b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件主机安全日志管理c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等主机安全日志管理d)应保护审计记录，避免受到未预期的删除、修改或覆盖等主机安全日志管理入侵防范（G2）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新漏洞管理安全加固恶意代码防范（G2）a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库杀毒软件b)应支持防恶意代码的统一管理网络杀毒软件资源控制（A2）a)应通过设定终端接入方式、网络地址范围等条件限制终端登录主机访问控制b)应根据安全策略设置登录终端的操作超时锁定配置：安全加固c)应限制单个用户对系统资源的最大或最小使用限度配置：安全加固应用安全类别测评项典型技术措施/差距分析身份鉴别（S2）a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别应用开发安全评估b)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用身份统一管理、授权、认证、审计c)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施应用开发安全评估-应用安全功能d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数应用开发安全评估-应用安全功能访问控制（S2）a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问WEB应用防护系统数据库审计系统b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作WEB应用防护系统数据库审计系统c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限身份认证和访问控制设备联动d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系身份认证和访问控制设备联动安全审计（G2）a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计日志审计系统b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录日志审计系统c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等日志审计系统通信完整性（S2）应采用校验码技术保证通信过程中数据的完整性应用开发安全评估-应用安全功能通信保密性（S2）a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证应用开发安全评估-应用安全功能b)应对通信过程中的敏感信息字段进行加密应用开发安全评估-应用安全功能VPN软件容错（A2）a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求应用开发安全评估-应用安全功能b)在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施应用开发安全评估-应用安全功能资源控制（A2）a)当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话应用开发安全评估-应用安全功能b)应能够对系统的最大并发会话连接数进行限制应用开发安全评估-应用安全功能c)应能够对单个帐户的多重并发会话进行限制应用开发安全评估-应用安全功能数据安全未做调研安全管理制度类别测评项典型管理措施/差距分析管理制度（G2）a)应制定安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等安全服务：信息安全管理咨询ISO27001认证b)应对安全管理活动中各类的管理内容建立安全管理制度安全服务：信息安全管理咨询ISO27001认证c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程安全服务：信息安全管理咨询ISO27001认证制定和发布（G2）a)指定或授权专门的部门或人员负责安全管理制度的制定安全服务：信息安全管理咨询ISO27001认证b)应组织相关人员对制定的安全管理制度进行论证和审定安全服务：信息安全管理咨询ISO27001认证c)应将安全管理制度以某种方式发布到相关人员手中安全服务：信息安全管理咨询ISO27001认证评审和修订（G2）应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。安全服务：信息安全管理咨询ISO27001认证安全管理机构类别测评项典型管理措施/差距分析岗位设置（G2）a)应设立安全主管、安全管理各个方面的负责人岗位，定义各负责人的职责安全服务：信息安全管理咨询ISO27001认证b)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责安全服务：信息安全管理咨询ISO27001认证人员配备（G2）a)应配备一定数量的系统管理人员、网络管理人员、安全管理员等安全服务：信息安全管理咨询ISO27001认证b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等安全服务：信息安全管理咨询ISO27001认证授权和审批（G2）a)应根据各个部门和岗位的职责明确授权审批部门及审批人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批安全服务：信息安全管理咨询ISO27001认证b)应针对关键活动建立审批流程，并由批准人签字确认安全服务：信息安全管理咨询ISO27001认证沟通和合作（G2）a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通安全服务：信息安全管理咨询ISO27001认证b)应加强与兄弟单位、公安机关、电信公司的合作与沟通安全服务：信息安全管理咨询ISO27001认证审核和检查（G2）安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况安全服务：信息安全管理咨询ISO27001认证人员安全管理类别测评项典型管理措施/差距分析人员录用（G2）a)应指定或授权专门的部门或人员负责人员录用安全服务：信息安全管理咨询ISO27001认证b)应规范人员录用过程，对被录用人的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核安全服务：信息安全管理咨询ISO27001认证c)应与从事关键岗位的人员签署保密协议安全服务：信息安全管理咨询ISO27001认证人员离岗（G2）a)应规范人员离岗过程，及时终止离岗员工的所有访问权限安全服务：信息安全管理咨询ISO27001认证b)对于离岗人员，应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备安全服务：信息安全管理咨询ISO27001认证人员考核（G2）应定期对各个岗位的人员进行安全技能及安全认知的考核安全服务：信息安全管理咨询ISO27001认证安全意识教育和培训（G2）a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训安全服务：信息安全管理咨询ISO27001认证信息安全培训b)应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒安全服务：信息安全管理咨询ISO27001认证信息安全培训c)应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训安全服务：信息安全管理咨询ISO27001认证信息安全培训外部人员访问管理（G2）a)应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案安全服务：信息安全管理咨询ISO27001认证信息安全培训系统安全建设类别测评项典型管理措施/差距分析系统定级（G2）a)应明确信息系统的边界和安全保护等级具备等级保护等级报告b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由具备等级保护等级报告c)应确保信息系统的定级结果经过相关部门的批准具备等级保护等级报告安全方案设计（G2）a)应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施风险评估服务b)应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案整体安全建设方案c)应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案安全设计方案d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施专家论证会证明材料产品采购和使用（G2）a)应确保安全产品采购和使用符合国家的有关规定安全产品资质b)应确保密码产品采购和使用符合国家密码主管部门的要求安全产品资质c)应指定或授权专门的部门负责产品的采购安全产品资质自行软件开发（G2）a)应确保开发环境与实际运行环境物理分开应用开发测试安全域b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则软件开发管理制度c)应确保提供软件设计的相关文档和使用指南，并由专人负责保管软件设计的相关文档外包软件开发（G2）a)应根据开发需求检测软件质量应用开发安全服务b)应确保提供软件设计的相关文档和使用指南应用开发安全服务c)应在软件安装之前检测软件包中可能存在的恶意代码应用开发安全服务-上线测试d)应要求开发单位提供软件源代码，并审查软件中可能存在的后门应用开发安全服务-上线测试工程实施（G2）a)应指定或授权专门的部门或人员负责工程实施过程的管理实施监理b)应制定详细的工程实施方案控制实施过程，控制工程实施过程实施监理测试验收（G2）a)应对系统进行安全性测试验收上线入网安全测试b)在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告上线入网安全测试c)应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认上线入网安全测试系统交付（G2）a)应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点实施监理b)应对负责系统运行维护的技术人员进行相应的技能培训培训c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档实施文档安全服务商选择（G2）a)应确保安全服务商的选择符合国家的有关规定服务商资质b)应与选定的安全服务商签订与安全相关的协议，明确约定相关责任明确的服务合同和授权c)应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同明确的服务合同和授权系统安全运维类别测评项典型管理措施/差距分析环境管理（G2）a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理信息安全管理咨询服务—机房和管理管理ISO27001b)应指定部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理c)应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定d)应加强对办公环境的保密性管理，包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等资产管理（G2）a)应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容资产清单b)应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为资产管理制度介质管理（G2）a)应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理信息安全管理咨询服务—介质管理ISO27001b)应对介质归档和查询等过程进行记录，并根据存档介质的目录清单定期盘点c)应对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏d)应根据所承载数据和软件的重要程度对介质进行分类和标识管理设备管理（G2）a)应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理ITSM管理系统终端管理系统b)应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理c)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现关键设备（包括备份和冗余设备）的启动/停止、加电/断电等操作d)应确保信息处理设备必须经过审批才能带离机房或办公地点网络安全管理（G2）a)应指定人员对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作ITSM管理系统b)应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定ITSM管理系统c)应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份漏洞和配置管理系统d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补漏洞和配置管理系统e)应对网络设备的配置文件进行定期备份ITSM管理系统f)应保证所有与外部系统的连接均得到授权和批准ITSM管理系统系统安全管理（G2）a)应根据业务需求和系统安全分析确定系统的访问控制策略访问控制策略白名单b)应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补漏洞和配置管理系统c)应安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装漏洞和配置管理系统d)应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定信息安全管理咨询服务—系统安全管理ISO27001e)应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作日志管理系统f)应定期对运行日志和审计数据进行分析，以便及时发现异常行为日志管理系统恶意代码防范管理（G2）a)应提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查防病毒管理制度防病毒软件b)应指定专人对网络和主机进行恶意代码检测并保存检测记录防病毒软件c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定防病毒软件密码管理（G2）应使用符合国家密码管理规定的密码技术和产品密码管理产品变更管理（G2）a)应确认系统中要发生的变更，并制定变更方案变更管理制度b)系统发生重要变更前，应向主管领导申请，审批后方可实施变更，并在实施后向相关人员通告变更管理记录备份与恢复管理（G2）a)应识别需要定期备份的重要业务信息、系统数据及软件系统等备份管理制度b)应规定备份信息的备份方式、备份频度、存储介质、保存期等c)应根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法安全事件处置（G2）a)应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点安全服务—应急响应服务b)应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分d)应记录并保存所有报告的安全弱点和可疑事件，分析事件原因，监督事态发展，采取措施避免安全事件发生应急预案管理（G2）a)应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容应急预案b)应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次信息安全风险分析网络层面的安全风险目前网络内安全域划分不够明确，为将整个网络趋于更安全合理的需求，需对当前网络进行安全域的重新规划及安全隐患的重新整理。对整个网络进行如下分析：1、从网络可靠性来看，整个网络纵向架构全部采用单一链路部署，在每个节点处都存在单点链路故障隐患尤其核心交换超期运行。2、从网络边界安全来看，在网络的边界区域安全隔离设备都已部署，但对于数据中心区域保护方面，没有安全完整防护和隔离机制和方法，数据安全无法得到保证；3、从网络管理运维完整性来看，对于运维人员工作的标准处理流程方面，没有足够的支撑机制，对于更精细的系统日志的审计机制仍然不足。4、从业务应用方面来看，目前员工和顾客使用的无线网络存在数据交互，容易造成内部资料的信息泄露。5、从网络整体安全来看，网络存在私接AP、乱装软件、IP地址随便修改等不良现，存在安全隐患，另外网络中未部署防恶意代码系统，不能对病毒木马等恶意程序进行查杀。6、网络的管理与监控机制尚不完善，无法对外部访问的合法性作出正确判断，缺乏对所采集的数据进行深入挖掘、详细分析和实时预警等功能，无法迅速阻断非法用户的入侵；7、对于主干通讯网络的关键网络设备，没有强身份鉴别机制，容易造成非法的设备参数配置；8、网络访问协议的弱点：网络的访问策略是不是合理，访问是不是有序，访问的目标资源是否受控等问题，都会直接影响到信息网络的稳定与安全。如果在网络地址规划、接口配置、访问策略、带宽策略方面等方面没有系统的规划，将导致网络难以管理，网络工作效率下将，无法部署安全设备、对攻击者也无法进行追踪审计。数据中心层面对服务器区的访问，已经存在了访问控制机制，但是还面临着如下的风险：1、对访问来源没有鉴别机制，将给入侵者发起伪装类攻击造成机会，造成没有授权的访问者假冒合法用户，获取系统的信息资源，造成机密信息外泄；2、对访问类型没有控制措施，可能会造成合法用户的越权访问，仍旧会导致机密信息外泄；3、对访问目标没有鉴别机制，将有可能使合法用户访问了攻击者蓄意假冒的目的，从而获得合法用户的帐号和口令，使攻击者具备访问网络的条件，从而更有效的发动对系统的攻击；4、对系统中的各类访问缺乏审计手段，将造成网络安全管理人员的“盲区”，网络安全管理人员无法了解到系统的运行情况和系统的访问态势，无法及时发现系统中存在的安全隐患，更谈不上采取安全措施了；5、对系统中各类日志信息缺乏关联分析将使网络安全管理人员陷入“一叶障目，不见森林”的误区，网络安全管理人员无法从全局的角度对系统运行情况和安全态势进行把握。6、信息网络缺乏有效的抗抵赖措施，导致发信者事后否认曾经发送过某条信息，或者接收者否认曾经受到过某条信息时，系统无法提供有力的证据。7、主机系统、数据系统而言，存在主要的风险是内部或外部人员可以通过一些技术手段取得系统超级用户权限，数据和应用被破坏8、网络系统中许多关键的业务系统都运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。数据库安全风险集中在：系统认证：口令强度不够，过期帐号，登录攻击等；系统授权：帐号权限，登录时间超时等；系统完整性：特洛伊木马，审核配置，补丁和修正程序等；数据丢失，操作日志被删除；数据库系统自身的BUG；没有打最新的数据库系统的补丁；选择了不安全的默认配置；信息安全日常管理运维缺乏基础的信息数据资产清单，没有明确数据的安全等级，进而无法梳理规范的访问控制白名单。缺乏统一的用户权限管理和访问控制策略，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险很大。没有建立基于角色的访问控制策略，日程人员变动导致访问控制策略修改工作量太大。对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。没有根据各类信息的不同安全要求确定相应的安全级别，信息安全管理范围不明确。缺乏有效的安全监控措施和评估检查制度，不利于在发生安全事件后及时发现，并采取措施。缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的机制和手段来发现和监控安全事件，没有有效的对安全事件的处理流程和制度。一些重要的安全管理岗位人员的职责过大，缺乏监督制约机制等。信息系统人员对安全的认识相对较高，但在具体执行和落实、安全防范的技能等还有待加强。由于对系统缺乏必要的技术监控手段，因此导致安全管理人员很难对网络中的活动进行细致全面的掌握，网络活动对安全管理人员存在“管理黑洞”。安全整改方案设计安全策略设计为应对上述所面临的威胁和风险，实现XXX信息安全等级保护建设项目的安全建设目标，安全建设应遵循以下总体安全策略和基本安全策略：总体安全目标：遵循国家相关政策、法规和标准；贯彻等级保护和分域保护原则，特别是对不同类别关键业务的单独保护。一手抓技术、一手抓管理；管理与技术并重，互为支撑，互为补充，相互协同，形成有效的综合预防、追查及应急响应体系。总体安全策略：物理安全策略在现有物理安全措施基础上，从环境、设备、介质、配电的故障切换、冗余等方面，完善物理安全保障措施，保障XXX信息系统免受因上述内容破坏造成的服务停止或数据损失。网络安全策略明确等级保护措施；合理划分安全域，确定各安全域的物理边界和逻辑边界，明确不同安全域之间的信任关系。在安全域的网络边界建立有效的访问控制措施。通过安全区域最大限度的实施数据源隐藏，结构化和纵深化区域防御防止和抵御各种网络攻击，保证XXX信息系统各个网络系统的持续、稳定、可靠运行。系统安全策略对操作系统、数据库及服务系统进行漏洞修补和安全加固，对关键业务的服务器建立严格的审核机制。最大限度解决由操作系统、数据库系统、服务系统、网络协议漏洞带来的安全问题，解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。应用安全策略针对XXX业务系统的安全需求特点，解决服务发布内容更新和审核等方面的权限控制、信息保密、数据完整性、责任认定、不可否认性等几个方面建立相应措施。安全管理策略针对XXX信息系统安全管理需求，在安全管理上需要在完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理等方面机制、制度的同时，与管理技术紧密结合，形成一套比较完备的信息系统安全管理保障体系。安全设计原则按照安全工程的建设需求和目标，以及“统一规划、分步实施；综合防范、整体安全；等级保护、务求实效”的建设原则，在进行XXX系统安全方案设计时，将遵循以下设计原则：分域防护、综合防范的原则：任何安全措施都不是绝对安全的，都可能被攻破。为预防攻破一层或一类保护的攻击行为而无法破坏整个XXX信息系统，需要合理划分安全域和综合采用多种有效措施，进行多层和多重保护。需求、风险、代价平衡的原则：对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做到安全性与可用性相容，做到技术上可实现，经济上可执行。技术与管理相结合原则：信息安全涉及人、技术、操作等各方面要素，单靠技术或单靠管理都不可能实现。因此在考虑XXX信息系统安全方案时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。动态发展和可扩展原则：随着网络攻防技术的不断发展，安全需求也会不断变化，再加上环境、条件、时间的限制，要求安全防护一步到位，一劳永逸地解决信息安全问题是不现实的。因此，在考虑XXX信息系统安全方案时，应首先满足基本的和必须的安全需要，并在此基础上有良好的可扩展性，以满足今后新的应用和网络安全技术的所产生的信息安全需求。系统设计思路实现可信网络计算环境防御体系可信网络计算环境的建设范围及重点，就是要对网络环境内各种网络和计算资源的安全性进行有效保护，从范围上包括网络设备安全、访问内容安全检测、通讯线路安全、服务器自身安全加强、应用安全等范畴。解决方案的总体思路是：用动态的安全策略，整合网关安全和应用安全产品，采用覆盖7层的主动防御的策略，提升信息网络的抗攻击能力，形成对上层应用系统的安全、可靠支撑，在现有网络规划的基础上，保障信息网络的高可用性。在可信网络计算环境的方面主要的建设内容包含六个方面，分别是边界访问控制、访问内容安全检测、访问数据库审计、弱点扫描和服务器安全防护、网站安全防护系统，具体的措施和部署说明如下：安全区域划分根据不同的平台来划分为不同的安全区域。边界访问控制设计边界访问控制是实现可信网络计算环境的首要前提，也往往是用户进行安全建设的首选措施，其核心功能是：将用户信息网络划分出不同安全域，对于跨越安全域的访问进行严格控制，根据源、目标地址、协议、端口、服务、用户等信息进行判断，符合访问控制策略的将被允许，否则将被禁止，从而限制了对网络的非法访问。随着信息技术的发展，边界访问控制往往与其他技术整合实现更为严密的纵深防护，比如边界访问控制设备提供对数据包内容的深度过滤和检查、与审计系统联动实现对访问过程安全性的审查、与终端安全管理平台整合实现可信接入和违规外联控制等内容。在边界访问控制方面采取的技术主要包括以下两点：1引入下一代防火墙，IPS,网络安全控制审计系统等。2配置ACL访问控制列表：在核心交换机上根据信息资产的类型划分VLAN，，并通过ACL控制不同VLAN间的访问，杜绝非法访问。3配置无线网络环境的访问控制策略，对顾客和内部员工提供基于身份认证、基于角色的访问控制策略。多种技术手段的访问控制规则针信息网络的不同层面，和不同类型的信息资产，有效进行控制，形成可信网络计算环境的第一层保障。实现全面安全审计在实现上述两个环节的安全防护建设后，基本上形成了全面的网络安全防护平台，为用户提供了一个覆盖访问控制、访问内容检测等环节的可信网络计算环境，在此基础上，对信息网络内各类访问行为进行记录就显得非常重要了。对于来自任何内部网络用户的WEB访问、文件传输访问、数据库访问等行为进行审计记录，并且可根据需要对用户操作行为过程和传输的数据内容进行回放，一旦发生网络安全事故，可以对系统内发生的与安全有关的事件进行分析与追踪，能够及时排查网络故障并挽回损失。服务器防护设计作信息网络中最重要的信息资产-服务器，由于直接承载了各类应用系统，因此服务器的安全性、可靠性将直接影响了应用系统的安全性，是应用保障的核心环节，但由于服务器是工作在操作系统之上的，而商业化操作系统总是存在很多的安全问题，对服务器的核心防护就显得非常重要了。就是从根本上提升服务器操作系统的安全性，削弱超级用户的权限，并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。解决了因操作系统进程、超级用户帐号被窃取进行攻击和系统注册表被毁坏而造成的安全问题。应当全面提升信息网络中重要服务器的抗攻击能力，因此通过部署运维安全管理系统来实现。网站应用安全设计在前面所描述的技术措施，重点是从网络安全的角度，为网站系统提供可靠、安全的运行环境，但是这些方法并不能完全防范黑客的攻击，比如利用网站自身的缺陷，进行SQL注入攻击、跨站脚本攻击，这些行为通过入侵防护系统也可以有一定的防范，但是目前在市场上出现的专门针对网站保护的系统－网站防护系统，在对抗针对WEB类的攻击方面更加有优势，也常常成为网站安全保护的选择。为此网站安全防护系统就因需而生了。网站防护系统主要实现了恶意代码主动防御、网页的文件过滤驱动保护、防SQL注入、抗网络攻击能力等功能。以期防止黑客入侵、网站篡改，从而更有效地对网站网页安全进行保护。实现可信用户行为监管用户行为监管的首要环节就是身份认证，对于各类应用系统，需要对访问者身份进行有效鉴别，并根据用户身份来分配访问权限，此外，还需要对用户访问应用系统所使用的终端进行有效管理，实现从源头起始的全面监管，从可信用户行为监管的角度，应实现安全控制。对于XXX信息网络，所有的访问都是通过终端进行的，因此除了需要对访问来源的用户进行有效鉴别和控制意外，还需要对其终端进行有效的监控与防护，也是进行可信用户行为监管的必要环节，终端安全管理平台通过对终端的合法性（接入控制）、终端的健康性、终端的访问行为等进行有效控制，实现了从源头的合法控制，从整体上保障了XXX信息网络的安全性。由于终端设备分布的广泛性，使得对终端的安全防护成为难点，但是终端往往由于操作系统自身的漏洞，或者未安装有效的病毒防护系统，导致终端很容易成为省局信息网络中的安全短板，特别是由于终端设备的使用者缺乏足够的安全意识，在访问互联网并下载软件时，导致一些恶意代码，或者木马等程序被自动安装在终端设备上，从而使终端成为进一步攻击省局信息网络的跳板，因此必须采取有效的终端安全管理系统，实现对终端设备的统一安全管理。终端安全管理系统通过对桌面安全监管、行为监管、系统监管和安全状态检测，采用统一策略下发并强制策略执行的机制，实现对局域网内部桌面系统的管理和维护，从而有效地保护终端的系统安全，这里部署的终端安全管理系统，将针对XXX信息网络中的各类终端设备，通过该系统执行相应的安全策略。实现可信数据安全防护在传统安全领域中，信息安全防护的核心是数据。在信息安全技术体系框架中，把可信网络世界中描述的客体实例化为数据，对数据的防护包含四个层面，分别为：访问服务：包括本地访问和远程访问，主要实现数据或应用的访问控制，包括鉴别、授权。管理服务：主要实现数据或应用访问的监控、审计，加密、策略管理，密钥管理。数据服务：主要包括企业应用服务系统、企业数据库、电子邮件服务、文件系统等。存储服务：主要实现数据的安全存储，数据生命周期管理等，包括物理存储、存储网络等。数据的安全防护，从数据全生命周期的角度，XXX采用专业的安全数据库，来实现对数据的有效保护，专业安全数据库采用了多级安全模型，对数据保护方面采取多种的安全机制。实现可信网络安全管理在实现了可信网络计算环境、可信用户行为和可信数据安全后，将对信息系统访问过程的三大关键环节实现全面的防护，但是如果没有统一的策略管理、对安全事件缺乏统一的分析和反馈，那么在此基础上形成的防护体系将是一盘散沙；各类安全手段观察问题角度单一，之间存在安全盲区，对突发实现难以协调处理，不能为用户提供统一的预警、自动响应等功能；用户也很难全面了解网络的运行状态和趋势，无法提供统一的安全状态检测平台。对XXX信息系统的安全管理也是一个非常重要的方面，系统必须具备相当的安全运维能力，能够有效进行资产管理、介质管理、网络安全管理、系统安全管理以及恶意代码防范管理等内容，从信息系统整体保护能力方面，要求信息系统能够实现统一安全策略、统一安全管理等技术，而运维安全管理系统则是以事件为核心，能够很好解决以上问题的有效措施。实现了数据的备份与恢复数据的可靠备份往往是用户业务连续性计划的关键点，相关的技术也非常成熟。从建设方式上，采用本地备份。本地备份就是在本地网络计算环境中，利用存储介质，将数据定期进行备份；根据国家十三五信息安全建设要求，信息化数据安全已经显现非常重要，所以考虑XXX数据备份已经必不可少。根据XXX公司自身信息化建设的现状，当出现事故时（主机系统故障、主机房故障、整幢楼房故障、区域性的灾难等），需要各关键应用在没有数据丢失的情况下迅速地对外提供服务。对鉴别信息和重要业务数据在传输过程中的完整性进行检测；采用加密或其他保护措施实现鉴别信息的存储保密性；能够对重要信息进行备份和恢复，提供对关键网络设备、通信线路和数据处理系统的硬件冗余安全整改技术体系建设物理安全对于XXX信息系统物理部署区域，应根据等级保护二级要求，进行专业安全评估，并对其中的不符合项进行针对性改进。本部分建设内容将在后期机房改造时考虑，本项目范围中暂不考虑。网络安全银座信息系统的网络区域边界需要根据等级保护二级要求来建设，根据等级保护二级要求，首先，应采用边界访问控制技术保证安全区域之间进出的数据进行访问控制，防止未授权访问发生。边界访问控制要求可采用防火墙设备或VLAN划分配置予以满足。其次为保证边界的完整性，因此需要对终端用户系统的非法外联行为进行检测和控制。根据等级保护二级要求，需要设定区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界。为保证网络的可信接入，因此需要对非法终端的接入行为进行检测和控制。根据等级保护二级要求，需要部署具备反病毒功能的安全网关，可以有效的解决病毒泛滥的问题。需要设定网络的带宽策略。对于重要的WEB应用或协议，应分配更多的带宽资源。在互联网出口部署网络入侵保护系统以及抗拒绝服务系统十分必要，此外，通过在网关处部署专用设备，采用密码技术实现在公共传输通道上建立虚拟专用通道，可以采用带VPN模块的防火墙产品实现。纵深的安全防护系统数据中心防火墙系统在系统各区域边界中，应采用边界访问控制技术保证安全区域之间进出的数据进行访问控制，防止未授权访问发生。边界访问控制要求可采用防火墙设备或VLAN划分配置予以满足。根据网络结构分析需要在数据中心部署防火墙，推荐采用目前技术领先的下一代防火墙。【部署方式】:防火墙系统部署见下图红色圆形框中所示：防火墙系统部署示意图【部署说明】:考虑到链路的冗余性，推荐部署2台防火墙形成双链路冗余或负载均衡的状态。【功能要求】:由于网络中防火墙系统是整个链路上比较关键的安全设备，要求防火墙具备以下功能:高性能的防火墙功能方便的流量管理功能强大的防病毒功能应用层访问控制功能数据中心入侵防护系统（下一代防火功能模块）入侵防御系统要求符合国家等级保护制度对入侵行为的监控要求“监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等”。本期系统建设完成后将有大量服务器，这些服务器上的应用需要对内外网提供重要的WEB服务，面临着被攻击的风险。必须使用入侵防御系统专门对这些重要服务器的应用进行防御，阻挡SQL注入和跨站脚本攻击等严重危害WEB安全的攻击行为，避免WEB服务遭受攻击。【部署说明】:在XXX数据总心边界部署网络入侵保护系统是有必要的，一方面，网络入侵保护系统检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络，同时，利用网络入侵保护系统的多路保护/监听功能，将WEB服务器到数据库服务器的流量镜像到网络入侵保护系统，可以监听WEB服务器到数据库服务器的流量是否异常。可以选用下一代防火墙的入侵保护模块，降低链路的复杂度。数据中心网络防病毒系统（下一代防火墙模块）国家等级保护制度中，对网络安全和主机安全都明确提出了“恶意代码防范”要求，并且主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。目前信息系统中需要有网关级的病毒过滤，能够有效防范基于网络传输的病毒，防止病毒通过网络跨网段传播，而终端防病毒系统更专于单机文件型恶意代码的查杀，两者互相配合，形成了多层次的病毒防护体系。可以采用带防病毒模块的防火墙产品实现。分店互联网边界上网行为管理系统国家等级保护制度中，对网络终端主机安全都明确提出了相关要求，在目前各分店互联网边界部署上网行为管理设备。【部署方式】:上网行为管理系统部署采用链路串接【功能要求】:要求分店互联网边界的上网行为管理设备具备以下功能:满足公安主管单位的监管要求可以实现身份认证可以和内网准入控制产品联动，实现IP和ID的关联实时的安全监控系统入侵检测系统考虑投资，本期暂不考虑APT系统考虑投资，本期暂不考虑全面的审计系统数据库审计系统考虑投资，本期暂不考虑安全运维审计系统（堡垒机）需要在核心交换处部署1台运维审计系统，即常说的运维堡垒机。【部署方式】:安全审计系统部署见下图红色圆形框中所示：安全运维审计系统部署示意图【功能要求】:1、身份管理：集中管理运维人员身份ID，支持分组、分角色，支持运维管理人员、操作人员、密码管理人员、审计人员、超级管理员、系统管理员六类角色2、设备集中管理3、支持主流运维协议4、认证授权：支持静态、AD域、Radius、RSA双因素等多种方式6、审计管理安全管理平台本次安全项目会有许多不同类型的安全设备，每个安全设备各自完成自己的功能，而安全防护是一个综合的系统，需要对及时出现的事件进行综合分析，并把紧急修订的措施及时下发执行，而分散的安全设备自身不仅无法实现，反而会因为设备的数量和种类繁多、管理复杂从而影响安全防护的效果，所以不同的安全设备各自需要一个安全管理平台，与日志收集系统有效结合，实现对系统风险、系统脆弱性和系统安全事件的收集、分析、预警、响应、处理跟踪等。安全中心不仅是各安全设备监控分析、预警平台，而且是应急管理、调度下派的管理平台。本项目中在服务器区的安全管理服务器上安装管理平台软件，对相应的网络安全设备进行统一管理。【功能要求】:要求安全管理平台具备以下功能:资产管理网络管理安全事件管理安全漏洞管理安全配置管理工单管理系统主机安全根据等级保护二级要求，需要对所有主机进行安全漏洞管理及行为监控。在国家网站信息系统安全建设中，应遵从等保二级相应的要求。统一漏洞管理漏洞的危害越来越严重，发展的趋势的形式也是日益严峻。归根结底，就是系统漏洞的存在并被攻击者恶意利用。软件由于在设计初期考虑不周导致的漏洞造成的问题仍然没有得到很好的解决，人们依然用着“亡羊补牢”的方法来度过每一次攻击，利用漏洞的攻击成为管理员始终非常关注的问题。统计表明其中19.4%来自于利用管理配置错误，而利用已知的一个系统漏洞入侵成功的占到了15.3%。事实证明，绝大多数的网络攻击事件都是利用厂商已经公布的、用户未及时修补的漏洞。已经公布的漏洞未得到及时的修补和用户的安全意识有很大的关系，一个漏洞从厂商公布到漏洞被大规模利用之间的时间虽然在逐渐的缩短，但是最短的也有18天之久，18天对于一些安全意识高的用户来说修补一个安全漏洞应该没有任何问题。通过漏洞扫描系统的部署，并启动定时扫描选项，可以方便的发现XXXXWEB应用系统中路由器、防火墙、交换机特别是重要服务器的漏洞情况，根据扫描设备提供的解决方法进行漏洞修补，可以有效的解决漏洞带来的危害。漏洞扫描系统通过旁路方式在交换机上部署机架式漏洞扫描系统对WEB服务器、数据库服务器以及其他应用服务器定期进行漏洞扫描，可以有效评估各个系统的安全状况。通过漏洞扫描系统，实现第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并提供专业、有效的漏洞防护建议与相关厂商的补丁超链接地址。依据扫描报告中的解决方案实施相应的安全检查与安全加固工作，完成后可以通过再次评估，并通过邮件方式督促管理员直到解决问题为止。【部署方式】:漏洞扫描系统部署见下图红色圆形框中所示：漏洞扫描系统部署示意图【部署说明】:通过旁路方式在交换机上部署机架式漏洞扫描系统，可以方便的发现应用系统中路由器、防火墙、交换机特别是重要服务器的漏洞情况，根据扫描设备提供的解决方法进行漏洞修补，可以有效的解决漏洞带来的危害。全面主机日志审计主机日志安全审计有助于对入侵进行评估，是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生，以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析，可以为发现可能的破坏性行为提供有力的证据。安全审计可以利用数据库、操作系统、安全保密产品和应用软件的审计功能。对于重要的涉密系统应采用专用设备进行安全审计。目前，操作系统、数据库系统、WEB系统、网络设备、应用系统等均提供了日志记录和审计功能，开启这些审计功能并定期进行审计，对于及时发现网络攻击行为，追踪和确定攻击来源具有很大的帮助。但由于设备分散，分布式的独立审计不能满足对各种网络攻击行为的审计要求，同时对网络攻击来说，有很大一部分威胁不是以网络入侵的形式进行的，而是由于内部合法用户的误操作或恶意操作，仅靠网络入侵检测也不能满足对网络的监控审计要求。网络注入控制系统根据等级保护二级要求，保证边界的完整性，因此需要对终端用户系统的非法外联行为进行检测和控制。为保证网络的可信接入，需要对非法终端的接入行为进行检测和控制，非法外联检测和控制以及非法终端的准入可采用准入控制产品予以实现。由于XXX终端众多，建议采用无客户端准入控制系统，可以大大减少日常的运维管理工作。【部署方式】:推荐使用DHCP+网络准入方案，NAM内置DHCP服务，提供IP地址下发，NAM采用DHCP+relay+snooping的方式，支持有线、无线网络环境，实现网络层严格的准入控制。结合SNMP、arp等多种网络准入技术，完美解决XXX复杂网络环境下网络准入问题。网络准入管理系统部署示意图【部署说明】:一台NAM服务器同时管理了本地总部准入和远程分支门店的准入；总部与门店统一使用DHCP准入方案；使用有客户端和无客户端两种方案；同时支持有线和无线准入，桌面终端和移动终端无差别管理IP/MAC绑定：NAM支持IP/MAC/主机名/操作系统等多元素检查，只有合法终端才会分配IP地址，并支持终端自动发现、识别、分组、注册等；访客接入管理：针对于访客接入，NAM直接将访客终端分入访客网，非企业员工需要使用企业网络访问互联网资源，比如接受和发送Email等，企业需要为他们提供网络的数据通道，但是又不能将企业内部资源暴露给他们进行访问，所以需要在提供网络数据通信的同时对这些第三方人员进行权限控制，NAM可以提供访客网解决方案，完美的解决非企业人员使用企业网络的问题；非法终端接入管理：总部可以使用ARP、SNMP等方式进行非法终端阻断，远程门店可以使用SNMP进行非法终端阻断；NAM提供实名制认证管理，与和分店边界的上网行为管理产品身份认证系统联动。应用安全等级保护标准中对二级系统的应用安全要求主要有身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等多个方面。信息系统应用层面的安全防护主要应由应用系统开发商在业务应用系统的开发过程中，针对相关要求进行开发和改造。其中需要其他技术手段配合实现的是身份鉴别一项，要求达到“双因素鉴定”强度，要满足这一要求。应用系统开发商参照等级保护要求对应用系统进行开发、部署和运维，首先需要建立“应用系统安全规范”。“应用系统安全规范”将在专业安全服务公司的帮助下，以安全咨询项目的方式制订。应用系统安全规范将所有多个方面的要求细化落实到应用系统的具体功能层面，为应用开发商在开发新应用系统时作出指导。此外还可以考虑在网络层、系统层进行安全技术手段的实施，弥补应用系统的脆弱性，如WEB应用防火墙等。WEB应用防护Web应用防火墙系统据调研，暂不考虑web防护应用系统安全在等级保护标准中对应用系统安全也有相关的要求，应从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面对已上线的应用进行改造，对于新设计的系统，应从系统的安全需求出发，对信息安全进行思考和设计，这方面的工作应由应用系统开发商负责业务应用系统安全模块的开发和改造。身份鉴别整个网站系统采用统一用户单点登陆的方式来实现登陆验证，前台后用户再统一用户系统中登陆之后，不需要再次鉴别身份，即可进入其他业务系统当中。统一用户系统提供专用的登录控制模块，验证用户输入的登录名和密码，检查用户名和密码的正确性，验证不通过的用户不予登录。同一用户可同时采用以下两种或两种以上组合的鉴别技术，包括：用户名和密码的鉴别、验证码的鉴别、USBKEY的鉴别（需USB设备支持），已预留USBKEY的开发接口。用户名+密码+验证码方式：CA认证（USBKEY）方式：访问控制文件层面：系统通过与操作系统结合，实现访问控制功能，如可以在操作系统RedhatAS5中，通过创建安装运行程序的用户，设置用户的文件的问权限；数据层面：通过在数据库分别为各业务系统创建用户和表空间，并且进行绑定，保证用户的有效性访问；在网站系统本身里通过权限控制登录用户对相应模块的数据和文件的访问权限，其中网站系统各用户对表的操作权限可精确到数据记录级别。访问控制覆盖范围包括：本系统与操作系统文件的操作、登录用户与模块的操作、登录用户与文件的操作、模块之间数据交互的控制（如信息呈送、获取）。内容管理系统提供授权管理角色配置访问控制策略：我们可在“系统设置”模块中设置角色的对应操作权限，再通过将角色赋予用户的方式，来控制用户的相关权限。新创建的用户的如果不设置访问权限将不允许访问系统。并且系统可授予不同账户完成各自承担任务所需的最新权限，整个系统的各个模块，细分出很多权限：如栏目权限中的栏目管理，可以精确的到某个栏目的最深层的子栏目。账户角色包括系统管理员、网站管理员、信息录入员、模板管理员、审计员、信息审核员、信息发布员等，不同角色只能根据赋予角色的权限访问对应的模块，不具备该权限的的账户是无法访问到模块。系统中本身没有审计员角色，目前可以通过在角色管理中新增该角色，并且通过赋予各个细分权限来实现审计员角色的功能。在项目期间，将进行定制开发，将审计员角色默认初始化后即有。安全审计系统提供覆盖到每个用户的安全审计功能，用户登录系统后，系统就对用户的每个操作，包括新增、删除、修改、审核等操作进行日志记录，操作日志保存在数据库中。登录用户的每个操作，系统在后台进行记录，记录过程任何用户无法干预或中断记录过程。系统审计记录的内容包括事件的日期、时间、发起者信息、类型、描述和结果等。系统管理员或者拥有该权限用户的可以在系统中单独的“日志管理”模块中进行统计、查询、分析的操作。双因素认证目前国内WEB应用系统安全访问控制基本上还是采用用户名+密码的方式，包括VPN的认证模式，在密码为静态的状况下，将会产生某些问题，比如为了维护密码安全性，必须严格规定密码的长度、复杂性（例如：中英文数字夹杂，大小写间隔，长度须超过8个字符以上）及定期更换的频率，对于普通系统使用用户来说这种密码设置方法极为不便，为了方便记忆，用户常常习惯使用特殊的数字，例如家人的生日、自己的生日、身高体重、电话或门牌号码等，因此导致系统中存在大量的弱口令，静态密码有很大的安全隐患。等级保护中要求二级系统应支持用户标识和用户鉴别，确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。双因素认证技术可抵御非法访问，提高认证的可靠性，降低来自内/外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，同时也为安全事件的跟踪审计提供一定依据。双因素认证的方式可根据WEB应用实际情况进行采用，如口令+令牌、口令＋数字证书、口令+生物识别等。分析几种方式的适用性、可行性、易操作性等方面因素，结合信息系统及用户群的实际情况及特点。数据安全及备份修复系统的备份和恢复能力直接决定着系统的整体安全水平，即使系统被破坏，只要及时的进行恢复，即可将损失降低到最低甚至没有损失。本期网络最重要的业务就是对外的WEB服务，当网站被攻击后，纠错系统具备对网站的恢复功能。如网页防篡改可以迅速恢复被修改的网页；数据库恢复系统能保证被破坏的数据迅速恢复；网络设备瘫痪以后，配置